Как сообщает зарубежное издание TechCrunch со ссылкой на данные вьетнамского эксперта по кибербезопасности Анурага Сена, национальная система видеонаблюдения и распознавания номерных знаков Узбекистана в течение длительного времени находилась в открытом доступе в сети Интернет без использования парольной защиты. Данная уязвимость позволила получить доступ к персональным данным граждан, включая фотографии и видеозаписи транспортных средств, изображения лиц водителей и пассажиров, а также информацию о маршрутах их передвижения.
По данным экспертов, база данных системы фиксации нарушений ПДД была доступна для свободного просмотра и скачивания в течение нескольких месяцев. Анализ цифровых архивов показал, что создание базы датируется сентябрем 2024 года, а активная фаза мониторинга дорожного движения с ее использованием началась в середине 2025 года.
Согласно материалам TechCrunch, система аккумулирует данные с порядка 100 высокотехнологичных камер, обеспечивающих круглосуточную фиксацию нарушений в разрешении 4K. В функционал камер входит выявление:
проезда на запрещающий сигнал светофора;
несоблюдения правил использования ремней безопасности;
движения транспортных средств без соответствующей регистрации в темное время суток.
География размещения камер, согласно выявленным GPS-координатам, охватывает ключевые транспортные узлы в Ташкенте, Джизаке, Карши и Намангане. Отмечено плотное размещение считывателей номеров в столице, а также наличие камер в сельской местности, в том числе на участках дорог, ведущих к государственной границе с Республикой Таджикистан. На записях зафиксирован водяной знак сингапурского производителя оборудования Holowits.
Утечка позволила проследить детализированную историю перемещений отдельных автомобилей. В частности, зафиксирован случай регулярного мониторинга транспортного средства в течение шести месяцев на маршруте между Чирчиком, Ташкентом и поселком Эшонгузар. Открытая панель управления позволяла операторам не только просматривать факты нарушений, но и иметь доступ к необработанным видеозаписям окружающего транспортного потока.
Как отмечает издание, система находится в ведении Департамента общественной безопасности Министерства внутренних дел Республики Узбекистан. На момент публикации материала 23 декабря официальной реакции со стороны МВД, а также дипломатических миссий Узбекистана в США на запросы о выявленной уязвимости не последовало. Служба реагирования на компьютерные инциденты UZCERT предоставила лишь автоматическое уведомление о получении сообщения.
По состоянию на 23 декабря данные системы продолжали оставаться доступными через интернет. Эксперты подчеркивают, что инцидент представляет собой масштабную компрометацию персональных данных и требует немедленного принятия мер по защите информационной инфраструктуры государственного значения.
Стоит отметить, что данная ситуация происходит на фоне реализации в стране масштабных реформ в транспортной сфере. В частности, к 2025-2026 годам запланирован перевод всех ведомственных баз данных в единый государственный дата-центр, что, по мнению властей, должно повысить уровень безопасности хранения информации.
